白名单之zipfldr.dll利用

zipfldr.dll

windows自带的zip压缩组件中存在一个zipfldr.dll,可以被利用

此dll位于C:\Windows\System32C:\Windows\SysWow64下,且存在一个导出函数RouteTheCall

1
2
3
4
5
6
7
8
void __fastcall RouteTheCall(HWND a1, HINSTANCE a2, const char *a3)
{
WCHAR pwszDst[264]; // [rsp+30h] [rbp-228h] BYREF

SHAnsiToUnicode(a3, pwszDst, 260);
PathRemoveBlanksW(pwszDst);
ShellExecuteW(0i64, 0i64, pwszDst, 0i64, 0i64, 1);
}

可以看到此函数调用ShellExecuteW来执行传入的参数所指向的程序

利用

由于此程序为DLL,则需要使用rundll32.exe来执行,如下:

1
rundll32 zipfldr.dll, RouteTheCall powershell
打赏
  • 版权声明: 本博客所有文章除特别声明外,著作权归作者所有。转载请注明出处!
  • Copyrights © 2021 lzeroyuee
  • 访问人数: | 浏览次数:

请我喝杯咖啡吧~

支付宝
微信